我正在使用JWT & Wordpress探索SSO,我不太确定它是否是一个好的实践,或者这个设置/流是否存在任何安全漏洞。
目前,我使用的JWT/SSO方法是基于这个答案/方法的,它使用iFrame方法来获取JWT令牌,而不是重定向方法,例如: from domain1.com > sso.com (检索JWT) > domain1.com
请参阅下面的设置/代码库fmi:
Main SSO域(使用Wordpress和JWT)
https://sso.com/login
https://sso.com/validation
Platform 1(使用普通PHP)
https
浏览 0提问于2019-05-08得票数 2
1回答
我有这样一个卷发请求:
curl -XPOST -H 'Content-Type: application/json' -H 'Authorization: sso-jwt JWT_STRING' http://localhost:50051/doSomething -d '{"note": "Here's a note"}'
我使用echo.Context来解析这个请求。我需要从JWT_STRING中提取公共名称(CN)。这就是我有多远:
tokenString, err := request.Heade
浏览 0提问于2019-04-12得票数 1
回答已采纳
我需要从ADFS IDP创建一个服务提供商。IDP正在发送SAML 2.0令牌,而在服务端,我正在接收它。我已经在服务提供商中使用了spring security相同的扩展插件。 我的代码流程如下所示 / SAML /login -->将调用ADFS(IDP)->重定向到saml/sso (使用SAML令牌) 现在从这个相同的/sso重定向到前端(客户端将发生,它请求令牌)。我想发回JWT而不是SAML来发回浏览器。做这件事的最佳方式是什么?如何在successRedirectHandler中使用/ SAML /sso将SAML转换为JWT? 示例处理程序 @Bean publi
浏览 62提问于2019-06-07得票数 1
1回答
我目前有一个分布式系统,其中包含一个OpenID连接服务器(IdentityServer3),充当SSO服务器。使用SSO服务器的客户端是带有AngularJS v2后端的v2 SPA:s。
我使用了基本的登录流,但我需要一些帮助来配置WebAPI/OWIN管道,以允许转换接收到的令牌声明,即。删除未赦免的索赔,并添加本地索赔。我假设我需要创建一个本地JWT,而不是使用从SSO服务器接收的JWT。
问题是,做这件事的最佳方法是什么?是否有自己的中间件可以帮助这一点,或者我是否需要“手动”从SSO服务器接收到的声明中生成一个新的本地签名的JWT?
目前的实施细节:
AngularJS SPA
浏览 2提问于2015-05-20得票数 1
回答已采纳
我正在阅读CAS 5.2.X的文档,并计划使用JWT作为服务票证。
它对JWT的过期时间做了如下陈述。我不明白‘返回断言的长度’是什么意思。
生成的JWT的过期时间由作为验证事件一部分返回的断言的长度控制。如果未指定断言有效性长度,则由作为CAS服务器SSO过期策略的一部分定义的SSO会话的长度控制过期时间。
这是一个JSON术语吗?我听说过关于测试的断言。但我不太明白这意味着什么。有人能解释一下吗?
浏览 2提问于2018-04-26得票数 1
1回答
目前,Oauth2正在成为微服务生态系统安全模块的实际应用。
为什么我们不能用SAML (或其他任何SSO)替换Oauth,用SAML断言(或SSO的等效数据)替换JWT?
是Oauth2的简单性使我们选择了它,还是有其他原因不使用SSO来代替Oauth进行微服务身份验证和授权。
浏览 0提问于2018-09-03得票数 3
回答已采纳
1回答
我目前正在从事SSO项目。和谷歌一样,我们也有accounts.domain.com作为Server。我们有三个托管在三个不同服务器上的应用程序(application1.com、application2.com、application3.com )。
每当用户想从这三个应用程序登录时,用户将被重定向到SSO服务器。如果用户提供的登录凭据是正确的,则表示SSO服务器生成一个JWT访问令牌。现在,生成的令牌必须附加到用户请求的应用程序响应报头上,然后用户将被重定向到被请求的应用程序以及“授权:承载$token”。
我目前面临着将生成的令牌附加到响应头的问题。我目前正在使用Slim 3框架以及lc
浏览 0提问于2018-10-23得票数 0
做了几天了。我正在我的角/nodejs应用程序上做一个登录表单。bc能够验证用户/密码。现在,我需要允许客户使用sso进入商店,但是生成的jwt无法工作。我在下面的尝试..。我正在寻找故障排除技巧。
生成JWT / sso_url
var jwt = require('jwt-simple');
function decode_utf8(s) {
return decodeURIComponent(escape(s));
}
function get_token(req, data) {
let uid = req.id;
let time = Math
浏览 0提问于2018-06-20得票数 1
回答已采纳
1回答
我有一个应用程序设置如下:
角度UI -> Spring云网关->基于Spring引导的服务
我试图使用仅使用以下端点的有限Oauth SSO服务器验证我的应用程序:
/authorize
/token
/userdata
SSO不提供/introspect端点,也不发出JWT。
我想要做的是让Spring来处理身份验证,但是基于/userdata的结果,我想生成自己的JWT来中继到服务。
我的问题:
这个是可能的吗?
如果是这样的话,有人能给我指点或者引导我找到让我开始工作的资源吗?
浏览 6提问于2022-10-19得票数 0
2回答
我正在尝试解析Xero for SSO中的JWT。Xero文档声明“JWT是使用您的客户端秘密和RS256签名算法签名的JSON有效负载”。我可以从Xero那里拿到JWT。我知道我的“客户端秘密”(字符串)。
如何将其整合到setSigningKey中以验证对RS256的响应?使用Java。谢谢
浏览 30提问于2020-09-17得票数 1
有没有人建议使用SAML与Django Rest框架集成SSO并生成JWT令牌。Python 3.6版。
浏览 0提问于2019-11-18得票数 0
IBM单点登录服务是否允许使用JWT令牌,而不是基于cookie的会话方法?
我有网络项目与后端在Node.js和前端在Angular.js作为单独的应用程序。因此,我需要一个与JWT令牌一起工作的SSO。
浏览 0提问于2018-06-26得票数 0
2回答
我在我的react应用程序中用jwt-decode解码一个jwt令牌,但是我无法从中获得claims参数,我怎么能得到这些呢?例如,我将从理赔对角处得到角色。
这是我的解码令牌结果:
{
aud: "SampleAudience"
exp: 1564989998
"http://schemas.microsoft.com/ws/2008/06/identity/claims/role": "SuperAdministrators"
"http://schemas.xmlsoap.org/ws/2005/05/i
浏览 0提问于2019-08-05得票数 0
回答已采纳
1回答
我知道在成功的用户登录之后,我可以重定向到url:
return $this->redirect()->toUrl('/user/login?redirect=http://www.myurl.com');
现在,我想对一条注册路线做同样的事情:
'sso-post-login' => array(
'type' => 'Zend\Mvc\Router\Http\Literal',
'options' => array(
'route'
浏览 1提问于2017-04-10得票数 0
回答已采纳
1回答
我有一个名为'Zendesk_session_controller.rb‘的控制器,作为使用JWT过程中的第一步。但是,我想知道如何用binding.pry调试这个?当我试图运行该文件时,会收到此错误。
Process finished with exit code 0
zendesk_session_controller.rb
require 'securerandom' unless defined?(SecureRandom)
class ZendeskSessionController
# Configuration
ZENDESK_SHARED
浏览 2提问于2021-09-24得票数 0
1回答
背景
为产品X构建移动应用程序,该应用程序目前作为SaaS解决方案承载。产品X目前不支持OAuth,实现基本身份验证,并在身份验证后生成会话令牌。产品X还实现了支持本地SAML2.0的SSO。
用例
移动应用程序还使用现有的SSO框架实现SSO。在这个移动应用程序中,调用SSO和身份验证时,IDP重定向回SaaS应用程序,该应用程序在接收SAML令牌时发出会话令牌,然后传递给移动应用程序。然后,移动应用程序使用会话令牌调用Product (与SaaS应用程序一起托管)
问题
根据组织安全推荐会话,移动令牌存储是不安全的。他们推荐OAuth/JWT令牌。
可选解决方案
产品X实现了OAuth -
浏览 0提问于2020-04-28得票数 0
1回答
我正在使用angular4,我的应用程序是使用AzureAD SSO.And进行身份验证的,我还接收来自应用程序的JWT令牌,并将其发送到中间线应用程序,并从中间验证此令牌,以确保中间线请求的安全性。现在我需要访问来自JWT toke的组信息?如何解析来自JWT令牌的组信息?如有任何建议,请提前表示感谢。
浏览 2提问于2017-10-05得票数 0
回答已采纳
1回答
验证后的Spring呈现索引页
、、、、
我使用Security实现了SSO SAML。在我的Spring项目中,我有以下控制器,它基本上将用户重定向到idP登录页面,然后根据成功的登录生成一个JWT令牌。然后将此JWT令牌作为头转发到索引页。但我似乎不能让它正常工作。
Auth控制器,
@Controller
public class AuthController {
private static final Logger log = LoggerFactory.getLogger(UserAccountResource.class);
@Inject
private TokenProvider toke
浏览 5提问于2017-10-23得票数 0
回答已采纳
我知道如何从浏览器中的HTTP请求中查看SAML请求/响应,我经常这样做来排除SSO配置(例如查看断言中发送的实际声明)。
有没有一种方法可以查看在SSO期间使用OAuth/OIDC发送的JWT?
向IdP管理员询问这个问题,而不是作为开发人员/依赖方管理员,最好没有任何浏览器扩展。
浏览 6提问于2022-05-04得票数 0
回答已采纳
1回答
我们需要在同一个Azure B2C租户中支持多个应用程序的单点登录。Azure B2C支持这一点,我已经相应地配置了我的依赖方自定义策略。
我的自定义策略有一个旅程步骤,在该步骤中,根据API验证用户的附加信息。当验证失败时,将抛出一个错误,并且不会为该用户过程颁发JWT令牌。这个用户之旅可以工作,但在SSO方面有问题:
但是,当应用程序B的自定义策略中的验证步骤失败时,将向应用程序传递一个错误,而不会发出JWT令牌。
在后一种情况下发生的情况是,sso (x-ms-cpim- SSO ) cookie也被删除,并且用户实际上已经从所有应用程序中注销,也是从应用程序A中注销,并且SSO不再工
浏览 2提问于2019-01-04得票数 1
我正在尝试学习tab SSO。当微软团队从AAD获取令牌并将其传递给tab时,我希望使用ajax将令牌发送到我的应用服务器,并在服务器端对其进行解码。 我可以看到在jwt.ms中通过手动复制粘贴成功解码了客户端令牌 有没有什么python代码可以用来做与jwt.ms相同的事情呢?我尝试了this,但得到了以下错误: jwt.exceptions.InvalidAudienceError: Invalid audience
浏览 15提问于2021-05-05得票数 1
回答已采纳
1回答
在使用Azure ACS的SSO场景中,我使用JWT令牌而不是SAML令牌进行评估。JWT被提升为比SAML更轻量级,但我不知道如何评估该声明。我假设令牌是通过FedAuth和FedAuth1 cookie传递的,但是在我的测试中,两个令牌之间的cookie大小是一致的。如果有的话,当使用JWT时,cookie会稍微大一些。
我的用法是ASP.NET和WebAPI,流量都很轻。
浏览 2提问于2013-07-10得票数 0
我试图通过以URL编码的形式发布用户名、密码并接收JWT令牌来生成用户身份验证令牌。
我尝试过使用有效负载而不是头和头,但是没有任何效果。我正在使用Python3.7。
import requests
headers = {'username':'username', 'password':'password'}
r = requests.post("https://sso.xxxxxx.com/sso-api/v1/token", headers=headers)
print (r)
我期望成功地生成输出响应2
浏览 3提问于2019-07-22得票数 0
回答已采纳
1回答
如何将OAuth2 SSO Principal中的详细信息输入到JWT中?( OAuth2Authentication getDetails的实例OAuth2AuthenticationDetails getDecodedDetails返回null)
我有。
角6客户端w/隐式登录为acme客户端(使用angular-oauth2-oidc)
Spring OAuth2授权服务器的JWT TokenService配置w/第三方SSO到GitHub
Auth服务器配置为acme作为SSO的implicit和GitHub客户端。
Auth服务器公开一个/login/github
浏览 1提问于2018-07-13得票数 0
回答已采纳
1回答
我们有一个web应用程序,它使用Keycloak进行身份验证。我们需要添加JWT作为SSO的可能性。
Keycloak允许我们很容易地为主要拥有某种SAML设置的客户设置SSO。
然而,一个新的系统被出售给几乎所有的客户,这个系统也声称提供sso。
但是,我真的不明白,因为他们只是发送一个JWT (Json令牌)。
我看不出有什么办法可以让他们成为一个身份提供者。
所以我想,如果我们在浏览器登录流中添加一些JWT,然后请求帐户链接。
在管理控制台中安装看起来非常简单,如下所示
我想知道这样的事情是否可能发生?
如果是这样的话,我如何将我的自定义身份验证器分配给我新创建的"Port
浏览 0提问于2019-04-11得票数 1
1回答
重定向后如何管理JWT?
、、、、
我有一个流程,其中用户输入一些凭据在侧钥匙罩sso系统,并在正确的输入后,它被重定向到前端通过代理和nginx入口。前端需要验证jwt令牌是否在那里。在这种情况下,提供jwt的合适方式是什么,以便前端可以将其存储在本地/会话存储中,然后使用它?出于安全原因,在url中使用token进行重定向是不可接受的。
浏览 5提问于2020-08-29得票数 0
回答已采纳
1回答
由于缺乏JS方面的知识,我确实面临以下问题。我使用柏树进行自动化测试,对于外部API端点,我需要使用每3600秒到期一次的动态令牌。我做了一些简短的研究,并发现,为了达到JWT令牌,我将需要第一个SSO登录(我的应用程序)。然后使用下面的脚本。但在这之后我不知道该怎么办。
it('the value of JWT Token should exist in localStorage', () => {
cy.getLocalStorage('JWT_DATA').then(lsData => {
cy.log
浏览 2提问于2022-03-10得票数 1
回答已采纳
我有一个SSO集成,它返回一个JWT令牌,而且为了安全目的,我不想将这个令牌存储在本地存储中。我不想每次从服务器那里得到它,有什么可能的选择?
浏览 21提问于2022-01-31得票数 0
1回答
我使用的是ASP .NET核心网络应用程序接口(3.1)。在那里我需要授权的用户在2种方式。第一个是通过SQL标识(使用用户名和密码),第二个是通过Azure AD SSO单租户(通过单击Microsoft登录按钮)。我使用JWT进行SQL身份验证,并发回一个JWT持有者令牌。这部分工作正常。我需要一种方法来做相同的JWT持有者令牌发送功能与Azure AD在相同的应用程序。请提出建议。
浏览 40提问于2021-02-11得票数 1
2回答
Docker DNS设置
、、、
我已经安装了一个本地DNS托管在码头。出于各种原因,我需要能够在其他码头容器中使用这个DNS。例如:
我有一个容器,sso,它向用户发送JWT令牌。此令牌引用其外部名称sso.example.com,客户端服务必须对此进行身份验证。
现在,sso.example.com既可以从外部( Google等人)获得,也可以在本地DNS上注册。
但是,我无法让我的其他容器按以下顺序解析名称:
码头DNS (127.0.0.11)
码头DNS (172.17.42.x和192.168.1.42主机)
外部DNS (1.1.1.1,8.8.8.8)
怎样才能同时解决LAN DNS和Doc
浏览 0提问于2019-05-10得票数 0
我正在开发一个Javascript应用程序+ REST。
为了SSO目的,我希望用户通过OpenID连接提供程序(和底层REST )进行身份验证。
使用隐式流,我可以获得一个ID令牌(JWT),标识我的javascript应用程序的用户。我希望能够在请求中的授权头中将这个JWT发送到REST来验证用户。但是,这种方法的问题是JWT的'aud‘字段不是用于REST服务器,而是用于javascript应用程序。
这是否意味着隐式流不适合我的用例,还是我遗漏了什么?
浏览 1提问于2015-03-07得票数 4
回答已采纳
1回答
Spring安全SAML
、、、
我正在尝试使用带有angular2的前端和带有spring引导的REST后端开发一个web应用程序。
我需要管理三种类型的身份验证:-基本登录/密码匹配针对数据库- ldap身份验证- sso身份验证
当用户通过身份验证时,由后端生成JWT并发送到前端。所有请求都必须在报头中包含jwt以与REST通信。
此时,我的websecurity配置是:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableTransactionManagement
public class
浏览 3提问于2016-10-06得票数 7
1回答
我们正在尝试使用Azure、AD和Spring安全性来实现SSO方案。我们找到了一些线索:
但这些都不足以说明整个故事。实际上,我们无法通过访问令牌解析,Spring对于JWT令牌应该是什么有不同的想法。
理想情况下,我们不希望从头开始编写SSO筛选器,而是重写令牌服务来实现对启动程序的自定义筛选。
有人成功地实现了这一点吗?任何帮助都将不胜感激。
浏览 2提问于2016-08-06得票数 5
我需要在使用Java中的CAS构建的SSO中添加一个PHP应用程序。在用户身份验证之后,SSO将credintials发送到PHP应用程序,并使用以下代码构建令牌:
public function getToken(Signer $signer = null, Key $key = null)
{
$signer = $signer ?: $this->signer;
$key = $key ?: $this->key;
if ($signer instanceof Signer) {
$signer
浏览 0提问于2019-07-31得票数 0
我正在尝试使用Azure B2C实现Zendesk的SSO。我在Url中获得了JWT令牌,但是它的加密算法类型是RS256,这是zendesk所不能支持的,那么我如何将它从RS246更改为HS256呢?
浏览 2提问于2019-12-09得票数 0
2回答
对于使用cas和jwt状态处理我的SSO登录名的逻辑,我有些麻烦。
在开始之前:用户到我的应用程序,需要访问cas包括作为参数在url中需要访问的应用程序的名称,例如: myapp.com
登录后,用户将302重定向到我的应用程序,并在url:myapp.com/?service=JWT-blablabla中追加一个JWT。
这就是我想象的应用程序的流程,用来检查用户是否被记录,或者他是否带着一个jwt来。
我有个问题:
如果用户附带了一个有效的JWT,但他在本地存储中仍然有一个有效的jwt,那么哪个JWT具有最新鲜的过期时间的优先级,还是旧的JWT由cas自动失效?请记住,jw
浏览 0提问于2019-05-10得票数 0
回答已采纳
我正在使用带有OpenID连接和OAuth2的IdentityServer4。
我需要使用一些支持SAML的遗留服务来启用SSO。
有人能解释一下(或者给我推荐一篇好文章)解释一下如何实现这一点吗?
我是否需要从IdentityServer为我的JWT令牌请求一个SAML令牌,以便传递给遗留服务?或者,我是否可以将SAML令牌嵌入到JWT ID令牌中,然后可以提取该令牌并将其传递给遗留服务?
浏览 0提问于2017-11-17得票数 3
1回答
我正在寻找一个CMS,它将有以下内容
SSO -使用oauth/jwt/openid,如果它直接支持key斗篷,就很酷
云支持-存储/ cdn /可伸缩
i18n -多语言
多平台支持-最终
开源的,免费的解决方案有明显的优势,但这不是必须的.
浏览 0提问于2017-01-17得票数 2
回答已采纳
1回答
从本页:
第四个与安全相关的保留声明是“iss”。这一申诉表明了签发JWT的一方的身份>。索赔包含一个简单的字符串,其值为>由发行人自行决定。JWT的使用者应该始终检查> "iss“声明是否与预期的发行者(例如sso.example.com)匹配。
例如,在Kubernetes中,当我像这样将kubernetes配置为使用JWT作为保险库服务帐户(从helm)时,我在访问保险库时不再会收到ISS错误:
vault write auth/kubernetes/config \
token_reviewer_jwt="$(cat /var/run/s
浏览 0提问于2021-08-17得票数 4
回答已采纳
我正在编写一个基于OAuth2结构的资源服务器。我有一个表user,我将把JWT响应的sub声明存储到该表中,作为其他表引用它的唯一键。为了避免检查每个传入请求的数据库,我尝试这样做。
如果那个键(sso_id)已经是唯一的,我是否还需要一个将自动生成的id键?省略那把钥匙有什么性能损益吗?
DROP TABLE IF EXISTS "user";
CREATE TABLE "user" (
id INT PRIMARY KEY GENERATED ALWAYS AS IDENTITY,
sso_id VARCHAR(100) NOT NULL
浏览 3提问于2021-08-02得票数 0
回答已采纳
我们有一个有角的网站,我们叫它https://webui.foo.com。我们正在将基础设施转移到SOA (面向服务的体系结构),因此我们已经将许多业务特定的功能卸载到了各种服务器上基于web api的端点上。
最近,我们从身份验证服务器( SAML2 )构建了对SSO (单点登录)的支持。标准流程是,webui为客户端提供了一个链接,可以将它们重定向到类似https://authsvc.foo.com/sso/saml2?idp=some-idp&redirectUrl=https://webui.foo.com/sso-response的地方。
身份验证服务在收到该端点上的请求后,
浏览 0提问于2020-01-02得票数 0
回答已采纳
我正在我的docker-come.yaml文件中设置一个环境变量,并希望在我的Spring的application.yaml中使用该变量的值。我被告知做这样的事
app:
auth:
tokenSecret: tokensecretvaluehere
tokenExpirationMsec: 864000000
oauth2:
sso:
url: ${SSO_URL}
(在我的docker中定义了SSO_URL -Compose.yaml)在我的Springapplication.yaml中。但是,当我运行停靠-组合向上构建时,这会导致一个错误,因为
浏览 8提问于2020-03-20得票数 4
回答已采纳
1回答
我有一个网站,用户必须通过单点登录(SAML SSO)才能访问该网站。网站有一个GUI,用户可以在其中输入信息并发送到服务器。
现在,我正在构建一些图形用户界面( RESTful )调用。调用的URL如下所示:。此资源是一个python脚本。
但是,还没有为这些调用设置身份验证,我希望通过SSO进行设置。
我正在考虑通过linux命令行和curl命令执行此操作的选项。curl命令将通过data标志包含SSO所需的所有数据,如下所示:
curl --data "name=Bob&id=123456" https://example.com/api/do-work
然后,在
浏览 3提问于2017-08-02得票数 1
1回答
在验证期间访问JWT令牌
、、、、
我正在使用以下示例来处理Spring OAuth2实现:
第一个是OAuth服务器,它在对用户进行身份验证时生成JWT令牌。第二种是正在消耗的资源。资源按照OAuth规范将用户身份验证中继到authserver。
一切似乎都很顺利,这使我有了更多的问题:
在authserver中,在身份验证期间,如何访问clientId和clientSecret?
我能否确定用于生成JWT令牌的值?
在SSO中,在对用户进行身份验证后,如何访问令牌的内容(例如主体)?
浏览 3提问于2014-12-15得票数 0
回答已采纳
我用Vue (包括Vue-Router)、Node和Express创建了一个应用程序。我正在尝试用SSO保护我的应用程序,使用auth0-js。我创建了一个Auth0-Account并遵循了教程。我的登录函数如下所示:
import auth0 from 'auth0-js'
var auth = new auth0.WebAuth({
clientID: <my-client-id>,
domain: '<my-auth0-domain>/'
})
export function ssoLogin () {
auth.au
浏览 1提问于2018-10-30得票数 0
1回答
我目前正在开发一个小型SingleSignon应用程序。这样,每当我做一个新项目时,我都可以节省时间,因为登录过程从一开始就已经到位了。首先,我想我应该提到,我的许多应用程序都是构建在角上的,因此我通常在一个项目中有多个应用程序:
角应用程序(HTML / Javascript)
REST (无论是PHP还是.NET (其实并不重要))
我一直在阅读OAuth2、JWT等,我了解到:
1)应用程序使用SSO授权。
2) SSO使用访问令牌进行响应(如果成功的话)。
3)将访问令牌添加到报头,我现在可以访问SSO
但
那么属于应用程序本身的我自己的API呢?(为更好地理解,请参见
浏览 0提问于2018-07-20得票数 1
回答已采纳
2回答
我试图在PHP中为两个主题连接的域创建一个简单的SSO系统。
因此,我想知道是否可以将包含用户名的签名JWT令牌从域A存储到本地存储。然后使用来自域B的相同密钥验证JWT,这将导致成功的身份验证。
我已经搜索了谷歌的一些答案,我发现其中一些包含一个中间身份验证域,这将负责身份验证。但我只想把我拥有的两个领域联系起来。
谢谢。
浏览 4提问于2017-02-14得票数 10
回答已采纳
1回答
SSO + JWT验证最佳实践?
、、、、
所以我想问关于JWT验证的问题。
除了登录和注销端点之外,我的springboot项目实现了对任何api请求的jwt验证。我的登录和注销端点(./api/v1/auth/ login,./api/v1/auth/ logout )是基于另一个源的SSO。因此,当我使用那个SSO登录时,他们会将他们的JWT令牌返回给我的后端进程。
然后,当我打开另一个api时,我想先用生成的jwt验证它,但是尽管我的jwt匹配,它总是给出401错误。
然后,这是我的身份验证类:
import java.io.IOException;
import javax.servlet.FilterChain;
impo
浏览 1提问于2020-07-24得票数 0
3回答
我使用JWT来处理一个SSO方案,其中两个系统(我们称之为A和B)都需要身份验证,但是用户数据存储仅位于一个系统中(比如A)。我所看到的关于JWT的一切都涉及到用户发布用户名/密码以接收JWT,但我想知道的是,将JWT返回给已经登录的用户是否安全。
为了使其更加具体,身份验证系统A (example.com)使用基于cookie/session的the,而第二个系统B (subdomain.example.com)需要JWT进行身份验证。我们不想强迫已经登录的具有会话cookie的用户再次输入用户名/密码以获得JWT,因此我们考虑实现一个API端点,该端点将返回一个JWT给已经登录的用户(通过
浏览 0提问于2015-11-19得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
